静的テストだけではなくならない脆弱性、多層的テスト手法が大きな効果IoTセキュリティ(1/2 ページ)

日本シノプシスが、同社が行ったソフトウェア脆弱性に関する調査レポートについて説明。ソフトウェアやアプリケーションから脆弱性が検出される割合が2020年の97%から2022年には83%となり、減少傾向にあることが分かった。

» 2024年02月05日 07時00分 公開
[朴尚洙MONOist]

 日本シノプシスは2024年1月30日、オンラインで会見を開き、同日発表した調査レポート「ソフトウェア脆弱性スナップショット−Webおよびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析」について説明した。同レポートによれば、ソフトウェアやアプリケーションから脆弱性が検出される割合が2020年の97%から2022年には83%となり、減少傾向にあることが分かった。これは、開発したプラグラムコードにおけるバグなどを見つけ出す静的テストだけでなく、動的テストやペネトレーションテストといっ多層的なアプローチの採用が広がっていることに起因しているという。

 今回の調査レポートは、商用のWebアプリケーションやモバイルアプリケーション、ネットワークシステム、ソースコードを対象に実施したテストから得られた3年分(2020〜22年)のデータを匿名化した上で、米国シノプシス(Synopsys)のCyRC(Cybersecurity Research Center)が分析したものだ。シノプシスは、「オープンソース・セキュリティ&リスク分析(OSSRA)レポート」やセキュア開発成熟度モデルの調査レポート「BSIMM」などを年次で発表しているが、今回の調査レポートは初の取り組みになる。

調査レポートの概要 調査レポートの概要[クリックで拡大] 出所:日本シノプシス

 調査レポート内で行ったテストの内訳は、ペネトレーションテストが66%、動的テストであるDASTが15%、モバイル向けアプリケーションに特化したテストであるMASTが13%となっている。これは、静的テストであるSASTを行うのはソフトウェア開発における前提条件になっており、その他の手法でテストを行うためシノプシスに外部委託した結果のデータを用いているからだ。

調査レポート内で行ったテストの内訳 調査レポート内で行ったテストの内訳[クリックで拡大] 出所:日本シノプシス

 調査対象データの初年度に当たる2020年は97%のソフトウェア/アプリケーションに脆弱性が発見されたが、2021年には95%となり、2022年には83%と大幅に減少している。日本シノプシス ソフトウェア・インテグリティ・グループ シニア・テクニカル・マーケティング・マネージャの松岡正人氏は「脆弱性の発見率は高い数値だが、そもそも脆弱性のないソフトウェア/アプリケーションを開発するのが極めて困難である以上、脆弱性が高い確率で見つかること自体は当然だろう。今回の調査レポートでポジティブな結果といえるのは、脆弱性が見つからなかったソフトウェア/アプリケーションが、2020年の3%から、2021年に5%、2022年には17%と大幅に伸びていることだ。開発チームがエラーのないコードを書く能力が高まったといえる」と説明する。

2020〜2022年にかけて、テストで発見される脆弱性が減少した 2020〜2022年にかけて、テストで発見される脆弱性が減少した[クリックで拡大] 出所:日本シノプシス
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.